2隐信道检测技术

对于隐信道的检测，其主要思想是：比较待检测数据流与正常数据流之间的差异，如果差异很大，则判断是隐信道，如果差异很小，则判断为正常数据流。网络隐信道构建方法是多种多样的，而网络环境也是瞬息万变的，因此对于隐信道的检测难度较高，导致了隐信道检测技术还不够成熟的现状。很多隐信道检测方法都是针对某一种或几种类似的隐信道，因而不存在通用性。虽然也存在一些检测方法，能够实现对多种隐信道的检测，但是这些检测方法对特定的网络环境具有很强的依赖性，局限性较大[39]。

Murdoch等人提出了一种基于TCP初始序列号位统计特性的隐信道检测方法，这种检测方法只针对基于TCP初始序列号位的隐信道，不具有普及型[40]。Sohn等人提出了基于SVM分类器的检测方法，目的是用于检测基于TCP初始序列号位的隐信道以及基于IP标识位的隐信道[41]。实验表明，这种检测方法只对于基于IP标识位的隐信道有较好的检测结果，而且适用性也不高。针对基于ICMP协议负载的存储式隐信道，Sohn等人提出了一种使用SVM的检测方法。刘光杰等人提出了一种基于IPID位正常通信自增特性统计规律的检测算法，用以检测基于IPID位的隐信道[42]。由此可见，很难设计出一种检测算法，实现对多种隐信道的检测。

以上的隐信道检测方法大多是一对一的，只针对一种隐信道有效，无法应用于其他隐信道，限制了适用范围。但是也有一些检测算法，具有较好的适用性[43]。对于时间式隐信道的检测，Cabuk等人提出了两种检测方法：基于包间延时方差的检测算法，以及相邻包间延时的相似度算法[44]。这两种方法都是通过对包间时延进行统计，计算出某种特征值，比较隐信道与正常数据流的差异或者相似度，从而判断是否为时间式隐信道。Shah等人针对Jitterbug隐信道，提出了一种利用包间延时的统计规律的检测算法，这种方法也可以应用于其他的时间式隐信道检测[27]。Qian等人提出了一种基于密度聚类的时间式隐信道检测方法，这种方法对密度聚类特征的选取和聚类的数目较为依赖，因此在实际应用中有一定的局限性[45]。Givanvecchio等人将信息论中的的熵与带修正条件熵引入了检测算法，利用包间时延信息的熵来检测时间式隐信道[46]。基于信息熵方法是一种比较成熟的检测算法，能够有效的检测出大多数的时间式隐信道。